Confrontés à une prise de conscience de la sécurité dans les grandes entreprises, les pirates informatiques ciblent de plus en plus les sous-traitants pour atteindre leurs objectifs. Une stratégie du « maillon faible » qui nécessite une collaboration accrue sur l’ensemble de la chaîne logistique. Décryptage.
La chaîne logistique, cible privilégiée des cyber-criminels
Face à la menace cyber, les plus grandes entreprises tendent à atteindre une certaine maturité numérique – entre protections accrues et sensibilisation des collaborateurs généralisée. Une préparation qui semble donc complète, mais qui occulte totalement les pieds d’argile de ces colosses : les fournisseurs et prestataires de services.
Les composants des fournisseurs, l’assemblage de ceux-ci dans les lignes de production, le stockage des produits finis ou encore le passage dans les réseaux de distribution sont pourtant autant d’endroits vulnérables et de moments propices à une contamination malveillante. Qui va se méfier d’un colis délivré par son livreur habituel ? Et de la même manière, qui va se méfier d’un logiciel fourni par son prestataire de service classique ? Plutôt que de s’attaquer frontalement à des grandes entreprises, les hackers s’en prennent désormais à cette autre partie-prenante, plus vulnérable et qui peut leur ouvrir en grand les portes du réseau informatique et des terminaux des grandes entreprises. Généralement de taille plus modeste, la question de la cybersécurité ou de l’hygiène numérique ne fait malheureusement pas partie de leurs priorités et les transforme donc en cibles de choix pour des cyberattaques.
#AssisesSI G. Poupard @ANSSI_FR : aujourd’hui on a un vrai sujet sur les ETI, et il y en a beaucoup, souvent fournisseurs de grands groupes ⏭ justement utilisons les grands groupes pour aider leurs fournisseurs clés ! pic.twitter.com/RLXzqUT3dh
— Gerome Billois (@gbillois) October 9, 2019
En 2013 déjà, la chaîne de distribution américaine Target a été attaquée à travers un sous-traitant chargé de… la climatisation. Au final, plusieurs millions de données confidentielles dérobées. L’année dernière, 50 000 élèves, parents et enseignants d’un groupe scolaire – américain également – ont eux-aussi vu leurs données personnelles fuiter à cause d’un prestataire.
Les cyber-risques liés à la sous-traitance sont donc bien plus proches de nous qu’il n’y paraît… « Que dire d’entreprises où des ordinateurs qui reviennent de réparation, sont directement distribués aux collaborateurs sans vérifier si un malware n’a pas été introduit au cours de la réparation ou lors du transport ? », glisse Florian Bonnet, Directeur du Product Management Stormshield.
Et les objectifs peuvent s'avérer multiples pour tous les maillons de la chaîne logistique : récupérer des secrets de fabrication et de propriété intellectuelle, subtiliser des données clients et partenaires ou simplement gripper la chaîne de fabrication. À la clé, pénalités de retard, perte de chiffre d'affaires, atteinte à la réputation sont à prévoir. Une étude de l'Institut Vanson Bourne de 2018 avançait que les secteurs pharmaceutiques, biotechnologiques, hôteliers, des médias, du divertissement et des services informatiques seraient les plus ciblés. Les éditeurs de logiciels peuvent aussi être concernés ici, puisque leurs applications – réputées fiables – permettent d’atteindre de nombreuses entreprises sans encombre. Comme en témoigne le cas du logiciel financier ukrainien MEDoc, point de départ de NotPetya en 2017.
La tentation de sous-estimer le risque
Pour les hackers, même des TPE – dont l’activité ne représente pas à première vue d’enjeu majeur – peuvent constituer une cible de choix. Pour autant, « la plupart de ces petites structures ne se sentent pas assez concernées », constate Stéphane Prevost, Product Marketing Manager Stormshield. « Puisqu’elles ne détiennent pas de trésor de guerre ou d’informations sensibles directement dans leurs réseaux, elles ne mettent pas toujours en place les mécanismes adaptés. C’est la même logique qu’avec les assurances : inutile jusqu’au jour où on en a besoin ».
Tous connectés, tous impliqués, tous responsables
Slogan de l’ANSSI en 2019
Cette attitude entraîne une forme d’omerta lorsqu’un incident survient. À ce titre, le message de l’ANSSI pour l’année 2019 – « tous connectés, tous impliqués, tous responsables » – est donc éloquent. « Maintenant que les systèmes deviennent tous reliés avec Internet et donc connectés, il faut intégrer tout le monde dans la réflexion de cybersécurité. Les équipes doivent communiquer entre elles, pour arriver à une sécurité globale », traduit Alain Dupont, Directeur du Service Clientèle & Directeur Général Délégué Stormshield.
Une seule solution : jouer collectif
Les techniques actuelles de protection, telles que la détection d’incidents basée sur les comportements anormaux ou encore les simulations d’attaque, ne semblent aujourd’hui pas suffisantes par rapport au nouveau périmètre des entreprises. La portée de ces outils reste en effet limitée s’ils sont envisagés à la seule échelle de la seule organisation, sans lien avec son écosystème. « Le niveau de sécurité d’une chaîne est celui du maillon le plus faible », rappelle en effet Florian Bonnet. Ainsi, pour chaque entreprise, tout l’enjeu consiste à sensibiliser ses sous-traitants au même titre que ses équipes.
Le niveau de sécurité d’une chaîne est celui du maillon le plus faible
Florian Bonnet, Directeur du Product Management Stormshield
Dans la perspective d’un meilleur partage sécurisé de l’information entre sous-traitants et donneurs d’ordre, ces derniers sont en capacité de jouer un rôle déterminant. « Par exemple lors des appels d’offres, en s’assurant que le sous-traitant remplit certains critères de cybersécurité », estime Alain Dupont. Une évolution indispensable puisque, dans le modèle actuel d’externalisation massive sous forme d’alliances, ne survivront que les entreprises capables de garantir l’intégrité de tous leurs processus et données, y compris ceux qu’elles ne contrôlent pas directement.
Cette ambition exige de sélectionner rigoureusement ses partenaires, d’automatiser encore et toujours les flux, mais surtout d’insuffler un esprit de coopération d’un bout à l’autre de la chaîne. Et vous, êtes-vous prêt ?